MySQL verwendet kein SSL

  • Hallo zusammen,

    mir ist gerade aufgefallen, dass die Verbindung zum Datenbankserver in phpMyAdmin als unverschlüsselt angezeigt wird:

    Code
    Server-Verbindung: SSL wird nicht verwendet

    Da es sich hierbei bei den Webhosting-Paketen um ein lokales Netz handelt, ist das vermutlich auch nicht weiter schlimm. Die IP-Adresse des Webservers und die des Datenbankservers unterscheiden sich ja nur in der letzten Zahl. Allerdings speichere ich mit einer eigenen Anwendung (läuft mit PHP auf dem Webserver) sensible Daten in der Datenbank (z.B. Benutzername und Passwort als Hash).


    Jetzt frage ich mich, ob es aus Sicht der Datensicherheit kein Problem darstellt oder ob andere Teilnehmer des Netzes fähig wären, die Verbindung zwischen Datenbankserver und Webserver auszuspionieren. Was meint ihr dazu?

  • Hay,

    Teilnehmer des Netzes

    ein ander Nutzer sicherlich nicht (vielleicht bin ich aber nur nicht kreativ genug, mir ein solches Szenario vorzustellenz.B. über einen pomiskuitiven Netzwerkport eines VPS oder RS im selben Netzwerksegment), aber diejenigen, die direkten Zugang zum Netz haben, also Netcup. Aber die haben auch direkten Zugriff auf den Webserver, insofern ist es mE da "egal", weil eine SSL-Verbindung es nicht sicherer machen würde. Dann müsstest Du gleich auch die Datensätze verschlüsseln, aber die Passworte sind ja schon gehasht, insofern sind diese ohnehin nicht so ohne weiteres ermittelbar.


    Von außen ist das natürlich etwas anderes, also wenn Du Deine Datenbank für jeden zugreifbar machst. In dem Fall ist Hacking oder Angriff aber die größere Gefahr als das mitlesen des Datenstroms. Da verwende ich einen VPN-Tunnel - allerdings setzt das einen echten root-Server voraus, mindestens also VPS.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Naja, Netcup selbst kann Daten grundsätzlich immer entschlüsseln, außer sie werden bereits lokal verschlüsselt und erst dann übertragen. Ansonsten ist es nur eine Frage des Aufwands. Im Zweifel muss man wegen der Datensicherheit Netcup fragen und bei sensiblen Daten oder persönlichen Daten Dritter so oder so einen Auftragsdatenverarbeitungsvertrag mit Netcup abschliessen.